Cảnh báo xuất hiện mã độc mới đang cố gắng đánh cắp mật khẩu của người dùng

Một phần mềm tải xuống mã độc đã bị phát hiện đang cố gắng đánh cắp danh tính của nạn nhân và tải xuống nhiều mã độc hại khác trong các cuộc tấn công mạo danh lừa đảo.

Được mệnh danh là “Saint Bot” (tạm dịch là Thánh Bot), phần mềm độc hại này được cho là xuất hiện lần đầu tiên vào tháng 1/2021 với dấu hiệu cho thấy rằng nó đang được phát triển mạnh mẽ ngoài môi trường internet.

Saint Bot là một trình tải xuống xuất hiện khá phổ biến gần đây và đang trong đà phát triển chậm rãi. Nó đã bị phát hiện khi đang trở thành một kẻ cắp với Taurus Stealer hoặc những trình tải khác, nó được thiết kế để cho phép sử dụng phân phối bất kỳ loại phần mềm độc hại nào – Chuyên gia bảo mật và phân tích nguy cơ an ninh mạng tại Malwarebytes – Aleksandra Hasherezade Doniec cho biết.

"Hơn nữa, Saint Bot sử dụng nhiều kỹ thuật, mặc dù không phải là mới lạ, nhưng cho thấy một số mức độ tinh vi khi xem xét vẻ ngoài tương đối mới của nó."

Chuỗi lây nhiễm được phân tích bởi công ty an ninh mạng bắt đầu bằng một email lừa đảo chứa tệp ZIP nhúng ("bitcoin.zip") tuyên bố là ví bitcoin trong khi trên thực tế, đó là một tập lệnh PowerShell dưới vỏ bọc của tệp lối tắt .LNK. Tập lệnh PowerShell này sau đó tải xuống phần mềm độc hại ở giai đoạn tiếp theo, tệp thực thi WindowsUpdate.exe, lần lượt, tệp thực thi thứ hai (InstallUtil.exe) sẽ tải xuống hai tệp thực thi khác có tên là def.exe và putty.exe.

Mặc dù tập lệnh trước là tập lệnh lô chịu trách nhiệm vô hiệu hóa Windows Defender, putty.exe chứa tải trọng độc hại cuối cùng kết nối với máy chủ lệnh và điều khiển (C2) để khai thác thêm.

Sự xáo trộn hiện diện trong từng giai đoạn của quá trình lây nhiễm, cùng với các kỹ thuật chống phân tích được phần mềm độc hại áp dụng, cho phép những kẻ điều khiển phần mềm độc hại khai thác các thiết bị mà chúng đã được cài đặt mà không thu hút sự chú ý.

Bên cạnh việc thực hiện "kiểm tra tự vệ" để xác minh sự hiện diện của trình gỡ lỗi hoặc môi trường ảo, Saint Bot được thiết kế để không thực thi ở Romania và các quốc gia được chọn trong Cộng đồng các quốc gia độc lập (CIS), bao gồm Armenia, Belarus, Kazakhstan, Moldova , Nga và Ukraine.

Danh sách các lệnh được phần mềm độc hại hỗ trợ bao gồm:

• tải xuống và thực thi các tải trọng khác được truy xuất từ ​​máy chủ C2
• cập nhật phần mềm độc hại bot và
• tự gỡ cài đặt khỏi máy bị xâm phạm

Mặc dù những khả năng này có vẻ rất nhỏ, nhưng thực tế là Saint Bot phục vụ như một trình tải xuống phần mềm độc hại khác khiến nó trở nên đủ nguy hiểm.

Điều thú vị là bản thân các tải trọng được tìm nạp từ các tệp được lưu trữ trên Discord, một chiến thuật ngày càng trở nên phổ biến giữa các tác nhân đe dọa, những người đang lạm dụng các chức năng hợp pháp của các nền tảng như vậy để liên lạc C2, trốn tránh bảo mật và cung cấp phần mềm độc hại.

"Khi các tệp được tải lên và lưu trữ trong Discord CDN, chúng có thể được truy cập bằng URL CDN được mã hóa cứng bởi bất kỳ hệ thống nào, bất kể Discord đã được cài đặt hay chưa, đơn giản bằng cách duyệt đến URL CDN nơi lưu trữ nội dung", các nhà nghiên cứu từ Cisco Talos đã tiết lộ trong một phân tích vào đầu tuần này, do đó biến các phần mềm như Discord và Slack trở thành mục tiêu béo bở để lưu trữ nội dung độc hại.

"Saint Bot là một trình tải xuống nhỏ khác," Hasherezade nói. "[Nó] không thuần thục như SmokeLoader, nhưng nó khá mới và hiện đang được phát triển tích cực. Tác giả dường như có một số kiến ​​thức về thiết kế phần mềm độc hại, có thể nhìn thấy được bằng nhiều kỹ thuật được sử dụng. Tuy nhiên, tất cả các kỹ thuật được triển khai đều nổi tiếng và khá tiêu chuẩn, [và] không thể hiện nhiều sáng tạo cho đến nay. "

Hương – Theo The Hacker News